(modifié le 13 février 2020 à 13:39)

Micode a partagé une vidéo plutôt intéressante sur une problématique que j'ai déjà rencontré, à savoir l'interception du trafic HTTPS d'une  application Android.

Même si la sécurité n'est pas monstrueuse à contourner il existe encore pas mal d'applications, bancaire y compris, qui n'utilise pas de vérification de l'empreinte du certificat.

Alors oui ça simplifie grandement l'investigation mais avec un point d'accès ouvert c'est juste complètement dangereux. Un peu de spoofing DNS et hop vous donnez vos identifiants à n'importe qui.

Outre Charles vous pouvez utiliser Burp qui réalise le même type d'interception, c'est un logiciel utilisé dans les audits / pentesting.

La plus grosse "difficulté" reste dans la reconstruction du fichier APK pour moi aujourd'hui. Par manque de temps je n'ai pas creusé... Je me sers de cette méthode pour m'interfacer avec des URL d'API non documentées, comme une application météo.

C'est aussi un bon moyen de savoir ce qui transite dans une application tierce... souvent une capture de trame tcpdump sur mon routeur WiFi suffisait mais avec la généralisation du HTTPS cette méthode est caduque.

Les vidéos de défi de Micode sont sympa, mais comme d'habitude on ne récupère pas le code et c'est bien dommage.

+infos

Auteur : Mr Xhark

Fondateur du blog et passionné par les nouvelles techno, suivez-moi sur twitter